XCOM GLOBALの情報流出事件でrobots.txtが話題に
2013年5月28日 18:04
insiderman 曰く、 XCOM GLOBALからクレジットカード情報を含む10万件の個人情報が流出した事件では、SQLインジェクション攻撃によって情報が抜き取られたという話になっているが、これに関連して同社Webサイトのrobots.txtが酷いという話が出ている。
ともちゃ日記が詳しいが、サーバーには「INSTALL.txt」や「LICENSE.txt」などの無駄なファイルが配置されており、しかもご丁寧にrobots.txtでこれらのファイルに対し「Disallow」が指定されている。これらを参照することで使っているCMSやそのバージョンなどの情報がうかがい知れてしまうほか、色々とサーバーの情報がうかがい知れる設定になっているという。これだけでなく、.htaccessの設定についても不適切なものになっているようだ。
robots.txtは多くのWebサイトで設置されていると思うが、CMSが自動的にこのファイルを作成し、その結果余計な情報が公開されてしまうというパターンも割とありそうだ。とりあえず心当たりのある皆様はrobots.txtの内容を再度確認してみよう。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
「イモトのWiFi」のXCom Globalからクレジットカード情報など約11万件が流出 2013年05月28日
米消費者金融をゆするハッカー集団、「まぬけ税」を要求 2012年06月25日
Disallow:/iraq ― ホワイトハウスの robots.txt 2003年10月28日